[SOLUCIONADO] DDoS NTP Reflection - Duda

Iniciado por Fleshed, Abril 08, 2014, 11:18:19 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Abril 08, 2014, 11:18:19 AM Ultima modificación: Agosto 18, 2014, 08:00:20 PM por Expermicid
Hola,
Tengo una duda relacionada a este tipo de ataque.

Según entiendo es que los atacantes buscan primero
comprometer a los servidores NTP(vulnerables), para luego realizar múltiples request con la dirección IP de la victima(realizando un spoofing) para que este reciba todo el tráfico de respuesta.
¿Así funciona este tipo de ataque?

gracias por su ayuda
Abril 20, 2014, 10:16:34 PM #1 Ultima modificación: Abril 20, 2014, 10:19:19 PM por inzect02
No, así no funciona este tipo de ataques.

Te explico:
NTP es un Protocolo de Tiempo de Red (NTP ) .

El ataque de  amplificación NTP es una forma  de amplificacion de negación de servicio distribuida ( DDoS ), que se basa en la utilización de los servidores NTP públicos accesibles a saturar a un servidor de la víctima con el tráfico UDP.

El servicio NTP soporta un servicio de vigilancia que permite a los administradores consultar el servidor para una densidad de tráfico de clientes relacionados .
Esta información se proporciona a través del comando "MONLIST" .
La técnica básica de ataque consiste en que un atacante envía una petición "GET MONLIST" a un servidor NTP vulnerable, con la dirección de origen falsificada esta IP falsificada es la direccion IP de el objetivo/victima.


El ataque se basa en la explotación de la característica 'MONLIST' de NTP, que se encuentra habilitada de forma predeterminada en los dispositivos NTP mas antiguos .

Este comando hace una lista de las últimas direcciones IP que conectan con el servidor NTP y es  enviado a la víctima .
Debido a la dirección de origen falsa, cuando el servidor NTP envía la respuesta se envía a la víctima.

Debido a que el tamaño de la respuesta es considerablemente mas grande que la solicitud , el atacante es capaz de amplificar el volumen de tráfico dirigido a la víctima . Ademas , debido a que las respuestas son datos legítimos procedentes de servidores válidos , es especialmente difícil de bloquear estos tipos de ataques .



En resumen:
Yo atacante envio el comando con IP's spofeadas a servidores NTP vulnerables >>> estos envian la respuesta a la victima >>> y la victima se satura.
Fin.
Imprimir
Ir Arriba Páginas1
Acciones del Usuario